火绒安全团队发现，病毒团伙正利用"远景"论坛的系统镜像文件传播后门病毒"WenkPico"。该病毒入侵用户电脑后，会劫持导航站、购物网站以及软件安装包流量，牟取暴利。同时该病毒还利用国内某安全厂商的产品功能模块，攻击其它安全软件，让部分安全软件的"云查杀"功能失效，使用户电脑失去安全防护。


火绒工程师分析发现，病毒团伙将病毒嵌入在系统镜像文件中，当用户从"远景"论坛中下载安装这些系统镜像文件后，就会运行病毒。建议近期下载该系统镜像文件的用户，尽快查看电脑C:\windows\system32\drivers目录，如果出现名为EaseFlt.sys和adgnetworkdrvw.sys的驱动文件，则表明已经中毒，可使用 "火绒专杀工具"彻底查杀该病毒。

病毒侵入用户电脑后，会通过多种方式劫持流量，牟取利益：将用户的导航劫持为Hao123或2345导航页；让用户访问购物网站时跳转到购物返利的链接中（受影响的购物网站如下图）；还会劫持用户下载软件的地址，并替换为病毒团伙上传的软件渠道包。病毒团伙可随时通过C&C服务器更改被劫持的软件下载地址，不排除未来会向用户电脑派发更具威胁性病毒的可能性。


更可怕的是，该病毒利用了国内安全厂商软件模块，可阻止国内外主流安全软件联网查杀（受影响安全软件如下图），对依赖"云查杀"的360安全卫士影响较大，使云查杀功能失效，并且阻止安全软件上传病毒样本；对卡巴斯基等具备本地杀毒引擎的安全软件影响较小。火绒用户无需担心，"火绒产品（个人版、企业版）"使用自研新引擎，断网环境下，杀毒能力不受任何影响。


最终，通过技术溯源发现，该病毒利用的软件模块带有的数字签名为"Shandong Anzai Information Technology CO.,Ltd."（"山东安在信息技术有限公司"），建议该公司尽快排查。